Details zum Wirtschaftsspionage-Trojaner [Update]
Der zur Wirtschaftsspionage eingesetzte Trojaner wird nun von einigen Virenscannern erkannt. Administratoren können so überprüfen, ob auch Rechner in ihrem Netzwerk ausgespäht wurden.
Der unter anderem zur Wirtschaftsspionage eingesetzte Trojaner, den die bei Anwendern eingesetzten Antiviren-Programme bislang nicht unschädlich machen konnten, wird mittlerweile von einigen Virenscannern erkannt. Administratoren können so überprüfen, ob auch Rechner in ihrem Netzwerk von dem Schädling befallen sind und ausgespäht wurden. Bei Tests der heise-Security-Redaktion in Zusammenarbeit mit AV-Test erkannten ihn aber nur die Scanner von AntiVir, BitDefender, eTrust-INO, Fortinet, Ikarus, Kaspersky, McAfee, Panda, Sophos und VirusBuster.
Für die Scanner von AVG, ClamAV, Command, Dr. Web, F-Prot, Norman, QuickHeal, RAV, Symantec und Trend Micro standen noch keine Signaturen zur Verfügung, um den unter anderem W32/Pinka und Troj/Mdrop-AT genannten Trojaner zu finden (Stand 31.5., 17:16 Uhr). Zwar stehen die Samples den Herstellern schon seit mehreren Tagen zur Analyse zur Verfügung, da er sich aber selbst nicht verbreitet und der Autor Pinka nur an ausgewählte Opfer verteilte, wurde er offenbar mit niedriger Priorität untersucht.
Laut Beschreibung von Sophos legt der in VB programmierte Trojaner die fünf Dateien dao360.dll, mscomm.ocx, msinet2.ocx, mswinsck.ocx und sys2003.sys im Ordner System32 ab. Das Vorhandensein einer oder mehrerer Dateien auf dem System ist aber nicht zwingend ein Hinweis auf eine Infektion. Einige der Dateien sind Bestandteil von Windows, die der Trojaner offenbar gegen manipulierte Versionen austauscht. Wie die einzelnen Komponenten zusammenarbeiten, geht aus der kurzen Analyse nicht hervor.
[Update]
Mittlerweile haben einige Hersteller weitere Variationen des Trojaners analysiert und sie Hotword oder Hotworld mit verschiedenen Suffixes getauft. Es zeigen sich aber immer noch erhebliche Unterschiede zwischen den Herstellern. Einige erkennen weiterhin keinen einzigen Schädling, andere finden nur bestimmte Abkömmlinge von Hotword. Derzeit (1.6., 10 Uhr) erkennen nur Antivir, AVG, Dr. Web, eTrust-INO und Fortinet alle bekannten Versionen mit den öffentlich verfügbaren Signaturen.
Siehe dazu auch: (dab)
- Beschreibung zu Troj/Mdrop-AT von Sophos
- Wirtschaftsspionage: Trojaner-Autor wohnte in Deutschland, Meldung auf heise Security
- Trojaner spionierte israelische Unternehmen aus, Meldung auf heise Security
